struts|Web常见的漏洞描述与修复方案( 七 )

Apache Struts2在使用REST插件时，攻击者可以绕过动态方法执行的限制，调用恶意表达式执行远程代码。
修复建议
建议用户到官方获取最新补丁或者最新版本程序。
34.Apache Struts2 DevMode 远程代码执行漏洞漏洞描述
为了便于开发人员调试程序， Struts2提供了一个devMode模式，可以方便查看程序错误以及日志等信息。当Struts2中的devMode模式设置为true时，存在严重远程代码执行漏洞。如果WebService 启动权限为最高权限时，可远程执行任意命令，包括关机、建立新用户、以及删除服务器上所有文件等等。
修复建议
建议用户到官方获取最新补丁或者最新版本程序。
或者将struts.properties中的devMode设置为false ，或是在struts.xml中添加如下代码： <constant name=\"struts.devMode\"value=https://mparticle.uc.cn/api/“false”/> 。
35.Apache Struts2 远程代码执行漏洞（S2-045）漏洞描述
Apache Struts2的Jakarta Multipartparser插件存在远程代码执行漏洞，漏洞编号为CVE-2017-5638 。攻击者可以在使用该插件上传文件时，修改HTTP请求头中的Content-Type值来触发该漏洞，导致远程执行代码。
修复建议
检测方式查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar，如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。
1、建议用户到官方获取最新补丁或者最新版本程序。
2、更新至Strusts2.3.32或者Strusts2.5.10.1 ，或使用第三方的防护设备进行防护。
3、临时解决方案：删除commons-fileupload-x.x.x.jar文件（会造成上传功能不可用）。
4、修改WEB-INF/classes目录下的配置
在WEB-INF/classes目录下的struts.xml中的struts 标签下添加
<constantname=”struts.custom.i18n.resources”value=https://mparticle.uc.cn/api/”global”/>；
在WEB-INF/classes/目录下添加global.properties ，文件内容如下:
struts.messages.upload.error.InvalidContentTypeException=1
36.Apache Struts2 远程代码执行漏洞（S2-033）漏洞描述
Apache Struts2在开启动态方法调用（DynamicMethod Invocation）的情况下，攻击者使用REST插件调用恶意表达式可以远程执行代码。
修复建议
1、用户到官方获取最新补丁或者最新版本程序。
2、或者在允许的情况下禁用动态方法调用（Dynamic Method Invocation），修改Struts2的配置文件struts.xml ，将struts.enable.DynamicMethodInvocation设置为“false” 。
37.redis相关漏洞修复漏洞描述
redis默认没有口令可能会造成未授权访问造成信息泄露，若redis为高权限账户运行，可能导致服务器权限丢失等。
安全建议
1.禁用一些高危命令
常见如：flushdb ， flushall ， config ， keys 等
2.以低权限运行 Redis 服务
3.为 Redis 添加密码验证
4.禁止外网访问 Redis
5.保证 authorized_keys 文件的安全